AI agent runs amok in Fedora and elsewhere

AI agent runs amok in Fedora and elsewhere [LWN.net]

欢迎访问 LWN.net。以下仅供订阅用户查看的内容由 LWN 的订阅者提供。成千上万的订阅者依赖 LWN 来获取 Linux 和自由软件社区的最佳新闻。如果您喜欢这篇文章，请考虑订阅 LWN。感谢您访问 LWN.net！作者：Joe Brockmeier，2026 年 6 月 10 日

自主 AI 系统可以代表人类用户自主完成各种任务，例如打开或管理错误报告、生成代码、提交拉取请求（pull request），甚至（显然）抱怨被拒绝。5 月，一位 Fedora 开发者发现，一个据称是“流氓”代理（agent）以多种方式骚扰了该项目：重新分配错误报告、伪造对错误报告无帮助的回复，甚至说服维护者将有问题的代码合并到 Anaconda 安装程序中。该代理还向多个上游项目提交了若干拉取请求（PR），其中一些已被接受。与该代理关联的 Fedora 账户已被撤销了其组权限，混乱局面也已得到清理，但该代理行为背后的动机仍然是个谜。

“有点不一致”

5 月 27 日，Adam Williamson 将一条信息抄送给了 Fedora 的开发者和测试邮件列表，内容是关于 Nathan Giovannini 似乎控制着一个未受监督的自主 AI 系统。Williamson 在信息中表示：“你试图修复问题的做法很好，但结果似乎有点不一致。”Williamson 表示，他仍在查看 Giovannini 在 Bugzilla 中的历史记录，但已经发现了一些问题。例如，Williamson 发现 Giovannini 的代理在向上游项目提交了相关拉取请求后，将 Bugzilla 条目分配到了他的账户中，或者在拉取请求被合并到上游项目后关闭了错误报告。在某些情况下，该代理只是用重复原始错误报告的评论或 Williamon 所说的“表面上看似合理，但其他方面存在问题”的评论关闭了错误报告。此外，Williamson 表示，Giovannini（或他的代理）提交了错误的补丁，然后“用 LLM 生成的合理化理由回复反对意见，最终说服维护者合并了该修复”。

该代理以 GitHub 用户“nathan9513-aps”的身份，为 Fedora 和其他 Linux 发行版使用的 Anaconda 安装程序提交了拉取请求。该 PR 的描述声称其修复了一个会导致安装失败的 Anaconda 错误，但该补丁实际上保留了一个与实际错误无关的内核选项，该选项是通过命令行传递的。此后，该代理的 GitHub 账户已被禁用。现在，它在 GitHub 的对话中显示为“ghost”，这是该平台为已删除用户账户设置的默认占位符。因此，要拼凑出该代理在 GitHub 上所有行为的完整轨迹，现在变得非常困难，甚至可以说是不可能。

Williamson 以相当委婉的方式表示，该代理的行为“对 Fedora 或上游项目没有产生积极影响”，并建议 Giovannini 调整该代理，使其“显著减少自主性”。他特别要求该代理不要将错误报告分配给 Giovannini，不要更改其状态，或在未经人工审核的情况下“发布自信的断言或具体的行动建议”。

被入侵了吗？

5 月 27 日晚些时候，Williamson 表示，Giovannini 私下回复他称，他的凭证已被入侵，他本人并不是该 AI 系统的幕后操作者。“显然，因此我们应该对该系统所采取的任何行动持怀疑态度，”Williamson 表示。他计划“更加积极地”审查 Giovannini 账户所涉及的错误报告，并请求其他人也帮助他进行审查。当天晚些时候，一封看似来自 Giovannini 的回复称，他已成功重新获得 GitHub 和 Fedora 账户的访问权限，“我目前正在对所有相关系统和凭证进行安全加固和审查。”该回复称他的 GitHub 账户是“nathangiovannini99”。Williamson 回复称，该 GitHub 账户仅创建了一个小时，而当天发送给邮件列表和私信给 Williamon 的邮件似乎不像 Giovannini 在与该项目早期互动时发送的消息。Giovannini 至少从 2018 年起就参与了讨论，他在 Bugzilla 中的活动至少可以追溯到 2016 年。他似乎并不是该项目的特别活跃贡献者，但他的参与显然早于自主 AI 时代。无论他的账户现在是由人类攻击者、自主 AI 还是两者的混合所操作，其账户在最近活动之前都有合法的历史记录。

Williamson 表示，他已审查了今年“nathan95”在 Bugzilla 中的账户活动，并发现了可疑活动，例如从 4 月 7 日开始，对 bug 2416721 的严重性和优先级进行了无任何理由的更改。他称，此前的活动看起来是合法的，到目前为止他看到的所有活动都没有明显恶意。他还确认另一个 GitHub 账户“leurus27-boop”可能与同一自主 AI 相关。该账户仍然活跃，并向 openSUSE Commander（osc）命令行界面（用于 Open Build Service）以及 lxqt-policykit 仓库提交了拉取请求。该项目用于扩展 LXQt 桌面的 lxqt-admin GUI 工具的权限，以管理操作系统设置，如用户和组配置。

Williamson 表示，最好查看相关账户的其他操作，并警告其他项目，应审查它们提交的任何内容。“整个情况非常可疑。”Kevin Fenzi 表示，他已经将“nathan95”用户从所有组中移除，因此它不再具有重新分配或关闭错误报告的权限。

攻击前？

Anaconda 团队的 Martin Kolman 表示，即使没有恶意，这些事件也“非常令人担忧”。该团队花了很多时间审查来自一个似乎非常热心的贡献者的拉取请求：“虽然过了一段时间后，这些回复看起来有点奇怪，但仍然*合理*。”他还推测，这可能是一个攻击者在逐步建立恶意活动的前奏，就像 XZ 后门那样：不幸的是，对于一次实际攻击，准备阶段（以及在 XZ 攻击中）看起来可能非常相似——一个新贡献者逐步获得社区信任，进行无害的更改，最终达到可以注入攻击载荷的阶段（或者如果以正确的方式组合，这些更改实际上可能并不无害）。所以，我们不能断言这就是攻击，但一个 AI 代理自动尝试类似 XZ 的妥协可能看起来与我们刚刚看到的情况非常相似。

Chris Adams 表示，应立即检查 Anaconda 的提交并可能撤销。Kolman 回复称，该提交已被撤销。他还确认，这些由 LLM 生成的拉取请求已进入 5 月 26 日发布的 Anaconda 45.5 版本。它们在 6 月 2 日发布的 Anaconda 45.6 版本中被撤销。

目标显然表明，这可能是一次攻击的前奏；一个操作系统安装程序、一个用于提升用户权限的工具以及一个用于与构建系统交互的工具，似乎都是插入恶意软件或劫持系统的理想途径。令人不安的是，一个 AI 代理在获得对人类贡献者账户的访问权限后，竟然取得了如此多的成功。看起来，一个拥有与项目互动合法历史记录的账户的 AI 代理，很可能会说服忙碌的维护者接受有问题的贡献。幸运的是，Williamson 在问题变得更大之前就发现了这一点。希望其他人类维护者也能如此敏锐。